Los ataques de ransomware han aumentado en volumen, transformándose y evolucionando a través de los años. Según el informe Global Threat Landscape Report H1 2022 de FortiGuard Labs, en un solo semestre se incrementó el número de variantes de ransomware en casi un 100%, Las tácticas de los ciberdelincuentes continúan cambiando y los defensores no solo necesitan seguir teniendo los «fundamentos básicos» de las estrategias defensivas correctas, sino evaluar continuamente las políticas de seguridad de su propia organización para garantizar que aún proporcionen respuestas adecuadas contra los actores de amenazas de ransomware. Los CISO se enfrentan ahora a una dura realidad: no es tanto una cuestión de si serán atacados, sino de cuándo lo serán.
Cuando se produce un ataque de ransomware, es esencial tomar las medidas adecuadas para minimizar el impacto sobre la organización y el propio equipo. Los CISO saben que sobrevivir a un ataque de este tipo requiere un plan de respuesta a incidentes de ransomware, pero el reto es el tiempo para documentar un plan completo y tener los recursos adecuados para implementarlo cuando sea necesario. Estar preparado es crítico.
Antes de verse afectado por un incidente de seguridad o una filtración de datos, ya debería disponer de un plan de respuesta contra el ransomware. Pero, ¿qué incluye exactamente un plan de respuesta eficaz? Hemos elaborado una lista de comprobación de 11 pasos contra el ransomware para saber exactamente qué hacer si nuestra organización es objetivo de una amenaza sofisticada.
- Que no cunda el pánico: Una vez que seamos conscientes de que hemos sido atacados se debe mantener la calma y actuar resueltamente y con propósito. Si no contamos con un plan de respuesta, hay que buscar ayuda de nuestro proveedor de seguridad o informar del incidente a la compañía de seguros; es posible que ellos ya dispongan de una lista de proveedores de seguridad expertos que puedan ayudarnos.
Habrá que considerar el impacto potencial que puede tener el incidente de seguridad. No solo en las áreas claramente comprometidas, como el cifrado de datos y la eliminación de aplicaciones, sino también en otros ámbitos de la organización que puedan verse afectados.
- Lo primero, aislar los sistemas: Hay múltiples técnicas para aislar la amenaza y detener su propagación. En primer lugar, hay que identificar el alcance del ataque. Si el incidente es generalizado, aplique bloqueos a nivel de red (es decir, aísle el tráfico en el switch o en el perímetro del firewall) o considere la posibilidad de interrumpir temporalmente la conexión a Internet. Si se confirma que el alcance del incidente es más limitado, infectando sólo unos pocos sistemas, aísle a los atacantes a nivel de dispositivo, posiblemente desconectando la Ethernet o la Wi-Fi.
Si está disponible, la tecnología de detección y respuesta en el endpoint (EDR, por sus siglas en inglés) puede bloquear el ataque de ransomware en el nivel de proceso, lo que sería la mejor opción inmediata con la mínima interrupción posible para el negocio. La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para entrar en la organización, a través de un RDP expuesto, correos electrónicos de phishing u otros tipos de métodos similares.
- La variante de ransomware importa: Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar a qué variante nos enfrentamos puede darnos pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de la variante, es posible que ya dispongamos de algunas herramientas para descifrar los archivos rescatados.
- A la búsqueda del paciente cero: Determinar el punto de acceso inicial, o paciente cero, ayudará a identificar y cerrar la brecha de seguridad. Los vectores de acceso inicial comunes son el phishing, los exploits de los servicios en el perímetro (como los servicios de escritorio remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial a veces es difícil y puede requerir la experiencia de equipos de forenses digitales e IR.
- Identificar todos los sistemas infectados: Identifique cualquier malware activo o restos persistentes en los sistemas que todavía se comunican con el servidor de mando y control (C2). Entre las técnicas habituales de persistencia se incluyen la creación de nuevos procesos que ejecuten la carga maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.
- ¿Se han filtrado nuestros datos?: A menudo, los ataques de ransomware no sólo cifran sus archivos, sino que también filtran sus datos. Lo hacen para aumentar las posibilidades de pago del rescate amenazando con publicar en Internet datos confidenciales o embarazosos. Incluso pueden ponerse en contacto con nuestros partners si identifican alguno de sus datos robados y amenazarles también. Busque indicios de filtración y fugas de datos, como transferencias de archivos de gran tamaño, en los dispositivos periféricos de su firewall. Busque comunicaciones extrañas de servidores que vayan a aplicaciones de almacenamiento en la nube.
- Localice sus copias de seguridad y determine su integridad: Un ataque de ransomware intentará borrar sus copias de seguridad online para reducir las posibilidades de recuperación de los datos. Por ello, asegúrese de que la tecnología de su copia de seguridad no se ha visto afectada por el incidente y sigue operativa. En muchos ataques de ransomware, los atacantes suelen haber estado en su red durante días, si no semanas, antes de decidirse a cifrar los archivos. Esto significa que puede tener copias de seguridad que contengan cargas maliciosas que no quiera restaurar a un sistema limpio. Analice sus copias de seguridad para determinar su integridad.
- Sanear sistemas o crear nuevas estructuras: Si confía en su capacidad para identificar el malware activo y los incidentes de persistencia en sus sistemas, podrá ahorrar algo de tiempo no reconstruyendo. Sin embargo, puede que sea más fácil y seguro crear sistemas nuevos y limpios. Incluso puede considerar la posibilidad de crear un entorno limpio completamente independiente al que luego pueda migrar. Es una medida que no debería llevar demasiado tiempo si está ejecutando un entorno virtual. Cuando reconstruya o limpie su red, asegúrese de que tiene instalados los controles de seguridad adecuados y de que sigue las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.
- Comunique el incidente: Es importante informar sobre el ataque. También debe determinar si es necesario y obligatorio informar a las fuerzas de seguridad. Su equipo jurídico puede ayudarle a abordar cualquier obligación legal en torno a los datos regulados, como PCI, HIPAA, etc. Supongamos que el ataque de ransomware es grave y su empresa se extiende por varias regiones geográficas. En ese caso, es posible que tenga que ponerse en contacto con los servicios policiales nacionales en lugar de con una agencia local o regional.
- ¿Pagar o no pagar el rescate?: Las fuerzas de seguridad desaconsejan pagar el rescate. Sin embargo, si se lo plantea, debería contratar a una empresa de seguridad con conocimientos especializados. No olvidemos que pagar el rescate o llegar a un acuerdo no va a remediar las vulnerabilidades que explotaron los atacantes, por lo que sigue siendo esencial asegurarse que hemos identificado el punto de acceso inicial y hemos parcheado las vulnerabilidades.
- Realice un análisis post mortem: Revise su respuesta a incidentes de ransomware para comprender qué salió bien y documentar las oportunidades de mejora. De esta manera mejoraremos nuestras capacidades de respuesta y recuperación para el futuro. Considere la posibilidad de simular los detalles técnicos y no técnicos del ataque para ejercitarlos con su equipo. También puede elaborar un playbook proactivo, a través de un servicio externo si su personal es reducido, centrado en diferentes escenarios de ataque, como el ransomware.
Por Anthony Giandomenico y Aamir Lakhani, expertos de Fortinet.
Imagen: Freepik
